webhacking öğrenmek istiyorum
- Konuyu başlatan ZeZe_
- Başlangıç tarihi
Linux öğrenerek başla. Sonra standart sistemleri (firewall, ips/ids/hids) ve açıkları öğren, xss, sql injection, lfi/rfi gibi. Sonra bunları TryHackMe gibi bir platformda test et. Bunlardan sonra loglama tarafına yönelebilirsin. EPP, EDR, XDR, SIEM, SOAR gibi sistemleri öğrenerek saldırdığında karşı tarafın nasıl önlem alacağını da öğrenebilirsin. Tabii bunlardan önce IP, DNS, HTTP/HTTPS, TCP/IP, UDP, portlar gibi kavramları öğrenmelisin. Sonrasında daha detaylı ve farklı açıkları da öğrenebilirsin.
Web hacking (web uygulama güvenliği) öğrenmek istiyorsan, doğru kaynak ve sıra çok önemli, yoksa bilgi kirliliğinde kaybolursun.
Web hacking’e başlamadan önce temel bilgi şart:
HTML & CSS & JavaScript: Web sayfalarının nasıl çalıştığını bilmelisin.
HTTP ve HTTPS: GET/POST, status kodları, header bilgileri, cookie, session mantığını öğren.
Temel Linux komutları: Birçok hacking aracı Linux’ta çalışıyor, temel terminal bilgisi gerekir.
Temel ağ bilgisi: IP, port, DNS, TCP/UDP mantığı öğren.
Kaynak olarak, W3Schools (HTML/CSS/JS) - Mozilla Developer Network (MDN) kullanabilirsin.
Burada yaygın web zafiyetlerini öğrenmelisin:
SQL Injection (SQLi)
Cross Site Scripting (XSS)
Cross Site Request Forgery (CSRF)
File Upload / File Inclusion zafiyetleri
Authentication & Session Management hataları
Kaynak: OWASP Top 10 (mutlaka oku), PortSwigger Web Security Academy (ücretsiz ve interaktif), HackTricks PDF
Teoriyi öğrenmek yeterli değil, pratik şart:
DVWA (Damn Vulnerable Web Application): Zafiyetleri test edebileceğin sandbox
bWAPP: Web uygulama güvenliği laboratuvarı
OWASP WebGoat: Adım adım web güvenliği eğitim platformu
TryHackMe / HackTheBox: Web güvenliği ve CTF’ler için harika interaktif platformlar
Bazı araçlar çok işine yarayacak:
Burp Suite: Web uygulama testleri, proxy, request manipulation
OWASP ZAP: Açık kaynak Burp Suite alternatifi
Nmap: Port ve servis taraması
SQLmap: Otomatik SQL Injection testleri
CTF’lere katıl web güvenlik yeteneklerini pekiştirir.
Forum ve topluluklara da katıl: TürkHackTeam, Reddit r/netsec, r/HowToHack
Blog ve YouTube kanallarını takip et: The Cyber Mentor, LiveOverflow, HackerSploit
Web hacking’e başlamadan önce temel bilgi şart:
HTML & CSS & JavaScript: Web sayfalarının nasıl çalıştığını bilmelisin.
HTTP ve HTTPS: GET/POST, status kodları, header bilgileri, cookie, session mantığını öğren.
Temel Linux komutları: Birçok hacking aracı Linux’ta çalışıyor, temel terminal bilgisi gerekir.
Temel ağ bilgisi: IP, port, DNS, TCP/UDP mantığı öğren.
Kaynak olarak, W3Schools (HTML/CSS/JS) - Mozilla Developer Network (MDN) kullanabilirsin.
Burada yaygın web zafiyetlerini öğrenmelisin:
SQL Injection (SQLi)
Cross Site Scripting (XSS)
Cross Site Request Forgery (CSRF)
File Upload / File Inclusion zafiyetleri
Authentication & Session Management hataları
Kaynak: OWASP Top 10 (mutlaka oku), PortSwigger Web Security Academy (ücretsiz ve interaktif), HackTricks PDF
Teoriyi öğrenmek yeterli değil, pratik şart:
DVWA (Damn Vulnerable Web Application): Zafiyetleri test edebileceğin sandbox
bWAPP: Web uygulama güvenliği laboratuvarı
OWASP WebGoat: Adım adım web güvenliği eğitim platformu
TryHackMe / HackTheBox: Web güvenliği ve CTF’ler için harika interaktif platformlar
Bazı araçlar çok işine yarayacak:
Burp Suite: Web uygulama testleri, proxy, request manipulation
OWASP ZAP: Açık kaynak Burp Suite alternatifi
Nmap: Port ve servis taraması
SQLmap: Otomatik SQL Injection testleri
CTF’lere katıl web güvenlik yeteneklerini pekiştirir.
Forum ve topluluklara da katıl: TürkHackTeam, Reddit r/netsec, r/HowToHack
Blog ve YouTube kanallarını takip et: The Cyber Mentor, LiveOverflow, HackerSploit
